Les ingรฉnieurs graphistes de Canva sont surpris. Ils n’auraient jamais imaginรฉ qu’extraire une archive de polices pourrait libรฉrer un malware.
Canva, une entreprise australienne bien connue dans le domaine de la conception graphique en ligne, redouble d’efforts pour renforcer la sรฉcuritรฉ de ses processus. ร la fin de l’annรฉe 2023, elle a introduit de nouveaux outils graphiques alimentรฉs par l’IA. Rรฉcemment, ses spรฉcialistes en sรฉcuritรฉ ont explorรฉ des aspects moins explorรฉs des polices de caractรจres, mettant en lumiรจre des vulnรฉrabilitรฉs surprenantes et soulignant les risques potentiels pour la sรฉcuritรฉ associรฉs ร leur utilisation.
Lire aussi :
- Choc รฉnorme chez Volkswagen, suspension de la production de plusieurs voitures รฉlectriques !
- Trello change la donne : seuls 10 utilisateurs pour les espaces gratuits, les consรฉquences
3 vulnรฉrabilitรฉs dรฉtectรฉes
La premiรจre faille, rรฉfรฉrencรฉe sous le code CVE-2023-45139, expose un problรจme de gravitรฉ รฉlevรฉe (7,5/10) dans FontTools, une bibliothรจque Python. Canva a rรฉvรฉlรฉ qu’en utilisant un fichier XML non fiable lors du traitement d’un tableau SVG, une police de taille rรฉduite pourrait รชtre crรฉรฉe, exposant ainsi des risques de sรฉcuritรฉ significatifs. Cette vulnรฉrabilitรฉ met en lumiรจre les complexitรฉs de la manipulation des polices de caractรจres, souvent nรฉgligรฉes dans le domaine de la sรฉcuritรฉ informatique.
Les deuxiรจme et troisiรจme vulnรฉrabilitรฉs, CVE-2024-25081 et CVE-2024-25082, notรฉes toutes deux ร 4,2/10, rรฉvรจlent des failles liรฉes aux conventions de nommage et ร la compression. Canva a soulignรฉ sur son blog que des outils populaires tels que FontForge et ImageMagick, utilisรฉs pour renommer les fichiers de polices, peuvent introduire des problรจmes de sรฉcuritรฉ lorsqu’ils manipulent des donnรฉes non fiables.
Les chercheurs ont รฉgalement dรฉmontrรฉ qu’une simple exรฉcution shell pourrait ouvrir des fichiers non autorisรฉs, mettant ainsi en รฉvidence l’รฉtendue du risque associรฉ ร ces pratiques.
Analyse et projections
Dans leur publication sur leur blog, les dรฉveloppeurs ont expliquรฉ qu’ils ont dรฉcouvert une faille lors de l’analyse de la table des matiรจres (TOC) par FontForge dans un fichier d’archive.
La TOC liste tous les fichiers compressรฉs dans l’archive et FontForge l’utilise pour extraire un fichier de police pour y effectuer des actions.
Ils ont ensuite rรฉussi ร crรฉer une archive contenant un nom de fichier malveillant en contournant les techniques traditionnelles de nettoyage des noms de fichiers, dรฉclenchant ainsi le code d’exploitation.
Le paysage des polices de caractรจres est riche en surfaces d’attaque
Canva a soulignรฉ que le paysage des polices de caractรจres est vaste et diversifiรฉ, offrant de multiples surfaces d’attaque. En effet, tant les entreprises que les particuliers ont besoin de typographies uniques pour leurs projets, chacune avec ses propres spรฉcifications et exigences. Cette diversitรฉ crรฉe un terrain propice aux vulnรฉrabilitรฉs, les polices de caractรจres devenant ainsi des vecteurs potentiels pour les attaques malveillantes.
Les chercheurs ont mis en avant la nรฉcessitรฉ de traiter les polices de caractรจres avec le mรชme niveau de mรฉfiance que toute autre donnรฉe non fiable. Malgrรฉ leur omniprรฉsence dans le monde numรฉrique, la sรฉcuritรฉ des polices de caractรจres reste un domaine largement sous-รฉtudiรฉ dans le domaine de la cybersรฉcuritรฉ.
Ils ont soulignรฉ le besoin urgent de recherches approfondies et d’une meilleure comprรฉhension des risques associรฉs ร l’utilisation des polices de caractรจres afin de renforcer la sรฉcuritรฉ des systรจmes et des applications.
